Wat is een DPIA?

Data Protection Impact Assessment (DPIA) is een middel om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Daarna kunnen maatregelen worden genomen om de risico’s te verkleinen.

Wanneer is een DPIA verplicht?

Een DPIA is verplicht wanneer het verwerken van gegevens een hoog privacyrisico oplevert voor de mensen van wie de gegevens verwerkt worden. Een voorbeeld hiervan is een grootschalige verwerking van patiëntgegevens door o.a. zorginstellingen, arbodiensten en verzekeraars. De uitvoering van een DPIA wordt doorgaans gedaan voor de start van nieuwe soorten verwerkingen van persoonsgegevens. Daarnaast raadt de Autoriteit Persoonsgegevens (AP) organisaties aan om periodiek een DPIA uit te voeren op bestaande gegevensverwerkingen, bijvoorbeeld eens in de drie jaar.

Ook als er sprake is van een niet-grootschalige verwerking kan een DPIA verplicht zijn, indien de verwerking een hoog privacyrisico oplevert. De AP en andere Europese privacytoezichthouders hebben 9 criteria opgesteld om te beoordelen of uw voorgenomen verwerking van persoonsgegevens een hoog privacyrisico oplevert voor de betrokken personen. Het uitgangspunt is dat u een DPIA moet uitvoeren als u aan twee van de negen criteria voldoet.

DPIA ondersteuning

Promeetec ondersteunt u graag bij het bepalen van de risico’s. Wij begeleiden veel van onze klanten rondom informatiebeveiliging en privacy.

Neem voor meer informatie vrijblijvend contact met ons op via 040-230 03 92 of info@promeetec.nl.